라자루스(Lazarus)그룹, 미국 라스베가스 CES2020 참관단 참가신청서 사칭 APT 공격 정황 포착

안녕하세요 이스트시큐리티 대응센터(ESRC)입니다. 

금일 ESRC는 라자루스(Lazarus) 그룹의 사이버 공격정황을 포착하였습니다. 

이번 공격은 악성파일이 포함된 이메일을 특정 대상에게 발송하는 방식을 사용하고 있으며, 미국 라스베가스에서 개최 예정인 세계 최대 소비자 가전 박람회 CES2020 참관단 참가 신청서를 사칭하고 있습니다. 

[그림 1] CES2020 참관단 참가 신청서를 사칭하고 있는 악성 파일

실제로 최근에 CES2020 참관단을 모집했으며, 이 모집공고는 10월 18일 마감된 것으로 확인되었습니다. 

[그림2] 실제 CES2020 참관단 모집 페이지

만약 이메일을 수신한 대상자가 국제전자제품박람회(CES2020) 참관단 참가 신청서를 위장하고 있는 악성 첨부파일을 클릭하면 한글파일에 포함된 쉘코드가 작동하는데, 이 쉘코드는 C2 분석을 방해하기 위한 목적으로 작동되며, C2 서버에서는 동영상을 위장한 64비트의 악성 dll 파일을 내려줍니다. 

현재 알약에서는 해당 악성파일에 대해 Exploit.HWP.Agent, Trojan.Agent.113664H로 탐지중에 있으며, 금일 라자루스 그룹의 공격과 관련된 더 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.

*IoC 정보

File Name	MD5
CES2020 참관단.hwp	f865ea5f29bac6fe7f1d976a36c79713

▶ 라자루스(Lazarus), 사회공학적 기법으로 당신의 비트코인을 노린다! (2019.08.30)

▶ 라자루스(Lazarus), 소명자료요구서로 위장한 '무비 코인' 캠페인 지속 (2019. 08. 20)

▶ 전방위 '무비 코인' APT 작전을 수행하는 Lazarus 그룹 위협 증대 (2019. 07. 23)

▶ 암호화폐 거래소 회원 겨냥한 무비코인 작전 지속… 배후에 ‘라자루스’ 조직 (2019. 07. 19)

▶ 라자루스(Lazarus) APT 그룹, 신상명세서 문서로 위장한 공격 수행 (2019. 07. 15)

▶ 라자루스, 시스템 포팅 명세서 사칭한 APT작전 '무비 코인' 으로 재등장 (2019. 07. 12)

▶ 암호화폐 거래자를 노린 Lazarus APT 공격 가속화 (2019. 07. 02)

▶ 라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전 (2019. 06. 20)